Comment sécuriser votre site internet?
Ce guide vous apprend comment vous assurer que votre site Web est protégé contre les attaques. L'utilisation d'un certificat SSL et HTTPS est le moyen le plus simple de sécuriser une adresse, mais vous pouvez faire quelques autres choses pour empêcher les pirates et les logiciels malveillants de compromettre votre site Web.
- 1Gardez votre site Web à jour. Ne pas mettre à jour le logiciel, la sécurité et les scripts de votre site Web lorsque cela est nécessaire est un moyen sûr de permettre aux intrus et aux logiciels malveillants de profiter de votre site.
- Cela vaut également pour les correctifs du service d'hébergement de votre site Web (le cas échéant). Chaque fois qu'une mise à jour de votre site Web est disponible, installez-la le plus rapidement possible.
- Vous devez également tenir à jour les certificats de votre site. Bien que cela n'affecte pas directement la sécurité de votre site Web, cela garantira que votre site Web continue d'apparaître dans les moteurs de recherche.
- 2Utilisez un logiciel de sécurité ou des plugins. Il existe plusieurs pare-feu de sites Web différents auxquels vous pouvez vous abonner pour une protection constante, et les services d'hébergement de sites Web comme WordPress proposent souvent des plugins de sécurité. Tout comme protéger votre ordinateur avec un programme antivirus, il est sage de protéger votre site Web avec un logiciel de sécurité.
- Sucuri Firewall est une bonne option payante, et vous devriez pouvoir trouver des plugins de pare-feu ou de sécurité gratuits pour WordPress, Weebly, Wix et d'autres services d'hébergement.
- Les pare-feu d'application de site Web (WAF) sont généralement basés sur le cloud, ce qui signifie que vous ne devriez pas avoir à télécharger de logiciel sur votre ordinateur pour les utiliser.
- 3Empêcher les utilisateurs de télécharger des fichiers. Permettre aux gens de télécharger des fichiers sur votre site Web crée automatiquement une faille de sécurité. Si possible, supprimez tous les formulaires ou zones vers lesquels les utilisateurs du site Web peuvent télécharger des fichiers.
- Limiter les formulaires qui permettent aux téléchargements de ne prendre en charge qu'un seul type de fichier (par exemple, un JPG pour les photos) est une autre solution possible à ce problème.
- Cela peut être délicat si votre site Web repose sur un formulaire de page Web pour des choses comme la soumission de lettres de motivation. Vous pouvez contourner ce problème en configurant une adresse e-mail pour les soumissions et en ajoutant l'adresse à votre page «Contact» afin que les utilisateurs puissent envoyer leurs fichiers par e-mail plutôt que de les télécharger sur votre site Web.
- 4Installez un certificat SSL. Un certificat SSL confirme essentiellement que votre site Web est sécurisé et capable de transférer des informations cryptées entre votre serveur et le navigateur d'une personne. Vous devrez généralement payer une redevance annuelle pour maintenir votre certificat SSL.
- Les options de distribution SSL payantes incluent GoGetSSL et SSLs.com.
- Un service gratuit appelé "Let's Encrypt" émettra également un certificat SSL.
- Lorsque vous choisissez un certificat SSL, vous disposez de trois options: la validation de domaine, la validation commerciale et la validation étendue. La validation commerciale et la validation étendue sont requises par Google afin de recevoir la barre verte "Sécurisée" à côté de l'URL de votre site.
- 5Utilisez le cryptage HTTPS. Une fois que vous avez installé un certificat SSL, votre site Web doit être qualifié pour le cryptage HTTPS; vous pouvez généralement activer le cryptage HTTPS en installant votre certificat SSL dans la section "Certificats" de votre site Web.
- Si vous utilisez une plate-forme de site Web telle que WordPress ou Weebly, votre site Web utilise probablement déjà HTTPS.
- Un certificat HTTPS doit être renouvelé chaque année.
- 6Créez des mots de passe sécurisés. L'utilisation de mots de passe uniques pour les aspects de votre site de niveau administrateur ne suffit pas; vous devrez trouver des mots de passe compliqués et aléatoires qui ne sont répliqués nulle part ailleurs et stocker leur clé quelque part en dehors du répertoire du site Web.
- Par exemple, vous pouvez utiliser un mélange de 16 chiffres et de lettres comme mot de passe. Vous pouvez ensuite stocker le mot de passe dans un fichier hors ligne sur un autre ordinateur ou disque dur.
- 7Cachez vos dossiers d'administration. Nommer le dossier «admin» ou «root» des fichiers sensibles de votre site Web est pratique; Malheureusement, cela vaut aussi bien pour vous que pour les pirates informatiques. Changer le nom de l'emplacement de ces fichiers en quelque chose d'ennuyeux (par exemple, "Nouveau dossier (2)" ou "historique") peut rendre plus difficile pour les attaquants potentiels de localiser vos fichiers.
- 8Gardez les messages d'erreur simples. Si votre message d'erreur donne trop d'informations, les pirates et les logiciels malveillants peuvent exploiter les informations pour trouver et accéder à des éléments tels que le répertoire racine de votre site Web. Au lieu d'ajouter des détails explicites aux messages d'erreur de votre site Web, envisagez de présenter des excuses concises et de créer un lien vers le site Web principal.
- Cela vaut pour tout, des erreurs 404 aux codes de serveur de type 500.
- 9Toujours hacher les mots de passe. Si vous stockez des mots de passe utilisateur sur votre site Web, assurez-vous de les stocker dans un format hased. Une erreur courante chez les nouveaux propriétaires de sites Web consiste à stocker les mots de passe au format texte brut, ce qui les rend faciles à voler si un pirate parvient à trouver le fichier.
- Même des sites prolifiques tels que Twitter ont été coupables de cette erreur dans le passé.
- Embaucher un consultant en sécurité Web pour examiner vos scripts est le moyen le plus rapide (bien que le plus coûteux) de corriger les failles potentielles de votre site Web.
- Testez toujours votre site Web via un outil de sécurité (par exemple, Observatory by Mozilla) avant de publier la dernière version.
- Les vulnérabilités de sécurité ne sont souvent découvertes qu'après avoir affecté quelqu'un. Pour éviter autant de conséquences négatives que possible, n'oubliez pas de sauvegarder votre site Web sur un emplacement externe (par exemple, un ordinateur ou un disque dur non connecté au réseau) chaque semaine.
Lisez aussi: Comment apprendre WordPress?
Questions et réponses
- L'hébergement de sites Web offre-t-il une sécurité totale avec les frais annuels?Oui, généralement pour trois dollars par an, vous pouvez obtenir une sécurité totale pour votre site Web.
- Qu'est-ce qu'un mot de passe au format haché?Un mot de passe haché devient un mot de passe crypté sur le serveur dans lequel il est stocké. Ainsi, si votre mot de passe était quelque chose comme "Salt&Pepp3r", le serveur stockerait le mot de passe comme quelque chose comme: "2fde1c67a2d28fced840ee1bb76". Étant donné qu'un mot de passe haché ne fonctionne que dans un seul sens, il est presque impossible pour quelqu'un de pirater le serveur et d'inverser le mot de passe. En d'autres termes, voyez le "2fde1c67a2d28fced840ee1bb76" dans le stockage, entrez-le et faites-le traduire en "Salt&Pepp3r", cela n'arrivera pas.
- Quelle est la signification du mot "cryptage"?Le cryptage est le processus de conversion d'informations ou de données en un code, notamment pour empêcher tout accès non autorisé.